La valeur des failles zero-day sur iOS a grimpé : la plateforme Zerodium, fondée par l’homme d’affaires français Chaouki Bekrar, a annoncé qu’elle va payer 1,5 millions de dollars à quiconque trouvera le moyen de contourner à distance les mécanismes de sécurité d’iOS 10. Ce qui fait donc tripler la valeur actuelle sur le marché : l’année dernière, l’entreprise avait déjà proposé une prime d’un million de dollars (qui a été remportée par un chercheur en sécurité) pour descendre par la suite à 500 000 dollars.
La faille zero-day permettait d’accéder à distance au système de leur cible en utilisant le navigateur web, un message SMS, MMS ou un fichier multimédia comme vecteur d’infection. Le nom du vainqueur n’a pas été dévoilé mais, étant donné que Bekrar est également à la tête de Vupen Security qui a plusieurs fois remporté des concours de hacking.
Il faut rappeler que Zerodium se décrit comme étant une plateforme qui rémunère les chercheurs en sécurité « pour acquérir leurs exploits zero-day d’origine et non signalés précédemment affectant les principaux systèmes d’exploitation, des logiciels et / ou périphériques. Bien que la majorité des programmes existants de primes de bogues acceptent presque tous les types de vulnérabilités et PoCs mais offrent des récompenses plus faibles, à ZERODIUM nous nous concentrons sur les vulnérabilités à haut risque avec des exploits entièrement fonctionnels, et nous offrons les plus hautes récompenses sur le marché ». Notons que l’entreprise dispose également de sa propre équipe de recherche en interne, et a lancé des offres d’emploi pour recruter des hackers spécialisés dans les découvertes de failles sur les navigateurs Web, les noyaux des systèmes d’exploitation, et sur les mobiles.
L’objectif revendiqué de Zerodium est d’acheter au prix fort des failles zero-day et s’en réserver l’utilisation. La plateforme peut alors vendre ses services à ses clients, qu’il s’agisse d’entreprises ou de gouvernements, pour les aider à se protéger de ces failles présentes dans les logiciels et systèmes qu’ils utilisent.
En 2013, des documents portés à la connaissance du public par Edward Snowden ont souligné une collaboration entre la société française et l’agence de sécurité américaine ; les deux entités avaient des accords commerciaux qui étaient signés le 14 septembre 2012 pour une souscription par la NSA d’un abonnement d’un an au service “VUPEN Binary Analysis & Exploits”, qui « fournit une analyse en profondeur des binaires des vulnérabilités publiques les plus significatives basée sur le désassemblage, le reverse engineering, l’analyse de protocole et l’audit de code ».
Pour ce qui concerne le reste des prix, un jailbreak à distance d’Android 7 peut rapporter 200 000 dollars, contre 100 000 sur la version précédente. Les failles zero-day les moins rémunérées se trouvent sur les outils Word et Excel de Microsoft qui valent 10 000 dollars de plus que l’année dernière.
Zerodium se donne un délai d’une semaine pour payer les vainqueurs de ses différentes catégories. Les PoC ou les vulnérabilités / exploits qui affectent des services en ligne ne sont pas de mise dans ce concours. L’entreprise demande de reporter de telles vulnérabilités directement aux vendeurs concernés ou via leur programme de récompense s’ils en ont un.